Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   DNS на Win 2008 R2. Не отвечает другим подсетям. (http://forum.oszone.net/showthread.php?t=262616)

immoe 17-06-2013 11:18 2169013
DNS на Win 2008 R2. Не отвечает другим подсетям.
 
Здравствуйте. Столкнулся со странным явлением.
На Windows Server 2008 R2 SP1 поднят контроллер домена с DNS, и на DNS запросы сервер отвечает только клиентам из собственной подсети. Другие подсети просто игнорируются, при этом никаких ошибок в логах не регистрируется.
Второй контроллер домена (Windows Server 2008 SP2) отвечает всем. В других подсетях есть еще 2 контроллера, и они так же отвечают всем.

Кто-нибудь сталкивался с таким?

astomper7 17-06-2013 11:30 2169025
immoe, ipv6 включен на проблемном DC?

immoe 17-06-2013 11:37 2169029
astomper7, IPv6 и включал, и выключал (причем на всех контроллерах) - результат одинаковый.

brass_net 17-06-2013 12:51 2169066
Цитата:
Цитата immoe
отвечает только клиентам из собственной подсети. Другие подсети просто игнорируются, при этом никаких ошибок в логах не регистрируется.
Второй контроллер домена (Windows Server 2008 SP2) отвечает всем. В других подсетях есть еще 2 контроллера, и они так же отвечают всем. »
А он про другие подсети знает/прослушивает?
Настройки сравнивали?

immoe 17-06-2013 13:10 2169078
Цитата:
Цитата brass_net
А он про другие подсети знает/прослушивает?
Настройки сравнивали? »
Настройки везде одинаковые. На контроллерах по одному сетевому интерфейсу, DNS слушает все. PING отвечает исправно. Репликация идет без ошибок. Рабочие подсети разделены на сайты, одна тестовая подсеть в сайтах не указана, но на результат это не влияет.

astomper7 17-06-2013 13:31 2169094
immoe, попробуйте удалить кэш DNS на проблемном DC.

immoe 17-06-2013 13:55 2169117
astomper7, очистка кэша проблемы не решила...

astomper7 17-06-2013 14:04 2169127
nslookup имя домена выдает лист всех контроллеров?

immoe 17-06-2013 14:23 2169140
Цитата:
Цитата astomper7
nslookup имя домена выдает лист всех контроллеров? »
В основной подсети (с проблемным DNS) выдает все три КД. В дополнительной подсети присутствует одна задержка на 2 сек. и потом выдает все три КД. Странно...

Its-me-again 17-06-2013 22:52 2169497
telnet имя_dc 53 проходит?

immoe 18-06-2013 10:49 2169717
Цитата:
Цитата Its-me-again
telnet имя_dc 53 проходит? »
Telnet не проходит никуда.
Вчера поднял новый КД. Работает без ошибок. Сегодня попробую передать ему все роли.

Its-me-again 18-06-2013 12:25 2169794
Я может быть неправильно выразился - у вас TCP/UDP 53 порт открыт из проблемных подсетей к DNS серверу? Если нет - тогда причина в этом.

immoe 18-06-2013 14:51 2169945
Цитата:
Цитата Its-me-again
Я может быть неправильно выразился - у вас TCP/UDP 53 порт открыт из проблемных подсетей к DNS серверу? Если нет - тогда причина в этом. »
Порт открыт. Подсети соединяются шлюзами. Вот сейчас у меня два соверешенно одинаковых КД с DNS со всеми патчами. Один отвечает всем, другой только своей подсети.

На английских форумах подобные проблемы решались поднятием нового КД. Странно, видимо случайная ошибка где-то на уровне протоколов.

Its-me-again 18-06-2013 15:26 2169958
Интересно было бы поставить сниффер на проблемном DC и отсниффить доходят ли запросы клиентов до него.
"Telnet не проходит никуда. " - похоже на локальную сетевую проблему. Может даже из-за локального файрволла.
Но раз все решилось установкой другого DNS, то наверное смысла заморачиваться и нет.

immoe 18-06-2013 16:55 2170053
Цитата:
Цитата Its-me-again
Интересно было бы поставить сниффер на проблемном DC и отсниффить доходят ли запросы клиентов до него. »
Вот-вот. У меня тоже "руки чешутся". Дилема - или "закопать труп" для освобождения харварных ресурсов, или препарировать с целью изучения :)

immoe 18-06-2013 18:44 2170183
Сниффер DNS запросы из других подсетей не регистрирует. Хотя NetBios и ICMP проходят. И повторюсь, это только на ОДНОМ КД. Остальные работают нормально. Завтра попробую сменить MAC карты.

Telepuzik 19-06-2013 08:59 2170479
Цитата:
Цитата immoe
Сниффер DNS запросы из других подсетей не регистрирует. »
На клиенте мз другой подсети запустите nslookup затем server <ip адрес проблемного DNS сервера>, далее введите www.ru и вывод покажите.

immoe 19-06-2013 10:50 2170542
Цитата:
Цитата Telepuzik
На клиенте мз другой подсети запустите nslookup затем server <ip адрес проблемного DNS сервера>, далее введите www.ru и вывод покажите. »
Немного не так: nslookup www.ru <IP_DNS>.
Ок. Конкретика.
  • DC1 (рабочий): 192.168.101.249/24, GW: 192.168.101.6
  • DC3 (проблемный): 192.168.101.13/24, GW: 192.168.101.6
  • CLIENT_1 (подсеть DNS): 192.168.101.181/24, GW: 192.168.101.6
  • CLIENT_2 (другая подсеть): 192.168.0.74/24, GW: 192.168.0.6
  • GATEWAY: 192.168.101.6/24, 192.168.0.6/24, <внешний интерфейс провайдера>

DNS_1 и DNS_2 - это КД на Windows Server 2008 R2 SP1 со всеми обновлениями. Брендмауеры для чистоты эксперимента везде отключены.

1. PING cо всех клиентов на все DNS - 1 мс.
2. CLIENT_1.
nslookup www.ru 192.168.101.249

Код:
Server:  dc1.corp.dp.ua
Address:  192.168.101.249

Non-authoritative answer:
Name:    www.ru.dp.ua
Address:  193.109.247.77
nslookup www.ru 192.168.101.13

Код:
Server:  dc3.corp.dp.ua
Address:  192.168.101.13

Non-authoritative answer:
Name:    www.ru.dp.ua
Address:  193.109.247.77
2. CLIENT_2

nslookup www.ru 192.168.101.249

Код:
Server:  dc1.corp.dp.ua
Address:  192.168.101.249

Non-authoritative answer:
Name:    www.ru.dp.ua
Address:  193.109.247.77
nslookup www.ru 192.168.101.13

Код:
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.101.13

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

Telepuzik 19-06-2013 11:04 2170548
Цитата:
Цитата immoe
Немного не так: nslookup www.ru <IP_DNS>. »
Это Вы написали если не запускать nslookup без параметров, я же Вам написал как через запуск nslookup указать утилите какой сервер использовать
Цитата:
Цитата immoe
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.101.13
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out »
Смотрите правила файрвола на проблемном КД или на маршрутизаторе, у Вас кто то блокирует DNS трафик.

immoe 19-06-2013 11:11 2170553
Цитата:
Цитата Telepuzik
Смотрите правила файрвола на проблемном КД или на шлизах, у Вас кто то блокирует DNS трафик. »
Файрволы все отключены. На проблемном DC3 траффик DNS с других подсетей сниффером не отлавливается вообще. В том то и загадка! Может шлюз (ENDIAN), конечно, режет. Но почему именно на один конкретный DNS? А если еще учесть, что обе ОС - это виртуалки на одном хосте, и работают на одной физической сетевой карте...
Кстати, еще одна идея для экспериментов. Попробую добавить на DC3 еще один сетевой интерфейс.

Its-me-again 19-06-2013 11:42 2170565
Попробуйте еще включить какой нибудь debug на Endian и посмотреть не дропает ли он пакеты 53 TCP/UDP в сторону 192.168.101.13


Время: 15:03.

Время: 15:03.
© OSzone.net 2001-